Число DDoS-атак на российские компании в начале 2026 года выросло на 27%

Мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%. Злоумышленники все шире применяют многовекторные схемы, ИИ-инструменты для генерации трафика и арендованную облачную инфраструктуру. Наиболее пострадавшими отраслями за наблюдаемый период стали телекоммуникации, финансы, а также государственные организации. Такие данные «Лаборатория Касперского» представила на Петербургском международном экономическом форуме (ПМЭФ-2026), пишет РБК.

Основные тренды по месяцам

В январе 2026 года число массовых автоматизированных атак выросло на 54% по сравнению с январем 2025 года. В первые рабочие недели января трафик на корпоративные порталы, банкинг и государственные сервисы резко возрастает: люди возвращаются к работе, оплачивают накопившиеся счета, подают заявления. Злоумышленники намеренно выбирают этот момент — перегруженная инфраструктура менее устойчива к дополнительной нагрузке, а ущерб от недоступности сервиса максимален. В феврале зафиксирован первый пиковый всплеск — максимальное число инцидентов за наблюдаемый период, средняя продолжительность атак превысила 48 часов, ряд атак продолжался свыше 14 дней непрерывно. Это означает, что злоумышленники перешли к тактике методичного истощения инфраструктуры. В марте общее число атак незначительно снизилось, однако доля многовекторных инцидентов, сочетающих объемную нагрузку и воздействие на прикладной уровень, превысила 40%.

Апрель ознаменовался вторым и более мощным пиком: число атак выросло на 61% по сравнению с апрелем 2025 года. Один из факторов всплеска — расширение доступности платформ DDoS-as-a-Service и активизация ботнетов на базе IoT-устройств. В мае общее число инцидентов несколько стабилизировалось относительно апрельского пика, однако средняя сложность атак продолжила расти: злоумышленники постепенно переходили от массовых операций к таргетированным кампаниям против конкретных организаций.

Наиболее атакуемые отрасли

Телекоммуникационные компании. Телеком остается наиболее привлекательной целью для злоумышленников: в первом квартале 2026 года число атак на операторов связи в России и СНГ выросло на 31% год к году. Максимальная продолжительность отдельных атак достигала 14 дней. Пиковая мощность атак на телеком-инфраструктуру увеличилась на 27%. Операторы остаются стратегической мишенью, поскольку обеспечивают работу широкого спектра цифровых сервисов: успешные атаки ведут к деградации качества связи, сбоям у корпоративных и розничных клиентов, финансовым и репутационным потерям. Дополнительным фактором риска служит рост числа IoT-устройств в сетях операторов — они формируют ресурсную базу для масштабных ботнетов.

Финансовые организации. Банки, платежные сервисы и страховые компании сохраняют второе место по числу инцидентов. Злоумышленники нацеливаются прежде всего на платежные шлюзы, личные кабинеты клиентов и API партнерских интеграций: точечный удар по критической бизнес-функции наносит несопоставимо больший ущерб, чем кратковременная перегрузка всего ресурса. Характерной тенденцией периода стал рост доли атак на прикладном уровне (L7) — в атаках на финансовый сектор она достигла 51%. Для финансовых организаций это особенно критично: атаки имитируют легитимные транзакционные сессии и с трудом поддаются фильтрации традиционными средствами.

Государственные организации. В числе наиболее атакуемых организаций находятся органы государственного управления, федеральные и региональные порталы. Значительная часть атак на госсектор связана с активностью хактивистских группировок. Атаки на государственные ресурсы чаще других отличаются скоординированностью и продолжительностью: злоумышленники стремятся к публичному резонансу и максимально длительному выводу из строя публично значимых сервисов.

Технические особенности DDoS-атак

Ключевой технической тенденцией периода стал рост доли атак уровня приложений (L7) до 51% в общей структуре DDoS — против 31% годом ранее. Злоумышленники имитируют легитимные пользовательские сессии: авторизацию, поиск, оформление заказов. Это существенно затрудняет обнаружение традиционными средствами фильтрации по IP-адресам и ограничению скорости соединений.

Значительно выросла роль облачной и виртуальной инфраструктуры как источника атакующего трафика. Злоумышленники активно арендуют ресурсы у облачных провайдеров для быстрого масштабирования нагрузки: современные ботнеты позволяют организовывать скоординированные атаки без глубоких технических знаний и по относительно низкой стоимости. Автоматизированные боты научились точнее имитировать поведение реальных пользователей — воспроизводить паттерны навигации, обрабатывать JavaScript-вызовы и обходить стандартные CAPTCHA-механизмы, что создает дополнительную нагрузку на системы антибот-защиты. Параллельно зафиксирован рост атак c низкой интенсивностью и медленным развитием — Slowloris, при которых соединения удерживаются открытыми максимально долго, постепенно исчерпывая пул потоков веб-сервера.

«Мы наблюдаем устойчивый тренд на усложнение DDoS-атак. Злоумышленники все чаще используют длительные и мультивекторные сценарии, направленные не на кратковременное отключение сервисов, а на постепенное истощение инфраструктуры. За пять месяцев 2026 года это особенно ярко проявилось в телеком-секторе, где отдельные атаки продолжались до 60 дней, и в финансовом сегменте, где злоумышленники сместили фокус на прикладной уровень. В таких условиях комплексный подход — сочетание защиты от объемных атак, интеллектуальной фильтрации L7 и антибот-решений — не опция, а необходимость для любой организации, присутствующей в сети», — комментирует Вячеслав Кириллов, менеджер по продукту Kaspersky DDoS Protection.